Tietojärjestelmiä hankkiessa yksi tärkeimmistä asioista on luoda yksiselitteiset ja mitattavissa olevat tietoturvavaatimukset sopimukseen. Esimerkiksi OWASP Application Security Verification Standard sisältää hyvän kokonaisuuden vaatimuksia, joista voi lähteä liikkeelle. Sopimukseen tulee myös aina lisätä auditointioikeus ostamaasi järjestelmään/palveluun.
Mikäli olet hankkimassa tietojärjestelmään ylläpitoa tai hankkimasi palvelu on SaaS-pohjainen, edellytä toimittajalta sen mahdollisten tietoturvaongelmien korjaamista tietyssä määräajassa; esimerkiksi kriittisten ongelmien korjaamista viikossa, merkittävien ongelmien kolmessa viikossa ja vähäisien ongelmien paikkaamista seuraavassa versiossa ilman lisäkustannuksia. Muissa tapauksissa tulee vähintään edellyttää toimittajaa korjaamaan havaitut ongelmat takuuaikana. Sovi samalla – molemmissa tapauksissa – sopimussanktioista, mikäli sopimuksessa esille tuotuja vaatimuksia ei täytetä.
EU:n tietosuoja-asetus tulee huomioida tietojärjestelmiä hankkiessa. Mikäli toimittaja on henkilötietojen käsittelijän roolissa, edellyttää asetus sopimuksessa selvitettävän seuraavat asiat:
- Käsittelyn kohde ja kesto
- Käsittelyn luonne ja tarkoitus
- Henkilötietojen tyyppi ja rekisteröityjen ryhmät
- Rekisterinpitäjän velvollisuudet ja oikeudet
Tehdessäsi sopimusta, sovi myös korvausvelvotteista, joissa on huomioitu EU:n tietosuoja-asetuksen tuomat riskit. Näitä voi pyrkiä pienentämään siirtämällä korvausvastuuta vahingonkorvausvelvotteiden muodossa toimittajalle mahdollisuuksien mukaan. Varmista myös, että tarjolla oleva tietosuoja ja -turva on riittävällä tasolla käsiteltävään tietoaineistoon nähden.
Ennen tietojärjestelmän tai palvelun käyttöönottoa varmista auditoimalla, että sopimuksessa esille nostetut vaatimukset toteutuvat luvatulla tavalla. Auditoinnilla varmennetaan sopimuksessa kirjattujen vaatimuksien täyttyminen. Tämän lisäksi palvelun tietoturvasta tulee huolehtia säännöllisesti jatkossakin, esimerkiksi etukäteen sovitulla aikataululla tapahtuvilla auditoinneilla.
2NS:n asiantuntijat auttavat sinua eteenpäin, jos järjestelmähankinnoissanne nousee eteen haasteita tai kysymyksiä tietoturvan osalta.